Vulnerabilità Schede Sim : Chi Ci spia???

Schede Sim

Schede Sim

Uno studioso tedesco ha trovato una vulnerabilità sul protocollo di cifratura utilizzato da alcuni tipi di schede sim, le schede di memoria che identificano l’utenza telefonica e permettono poterci connetterci tranquillamente rete mobile. Ovviamente, se il bug venisse sfruttato, potrebbero essere sotto attacco hacker milioni di telefoni cellulari.

Tutto questo a causa di un vecchio standard di sicurezza (del 1970) ed un gravissimo bug nel codice dell’algoritmo di cifratura. Infatti un malintenzionato potrebbe sfruttare questa falla per controllare a distanza il nostro smartphone per inviare sms a servizi a pagamento (esempio 899 o numeri esteri), reindirizzare o registrare le chiamate, intercettare gli acquisti fatti grazie al servizio mobile.

Lo studioso tedesco afferma molto candidamente che un quarto delle schede da lui testate sono risultate affette da questo bug  ritenendo che circa un ottavo di tutti i cellulari al mondo sono potenzialmente vulnerabili. La cosa più preoccupante è che per far si che l’attacco vada a buon fine, è richiesto solo il numero di cellulare della vittima e, ovviamente, il tempo necessario alla decifratura dei dati criptati.

Tale vulnerabilità risiede sia nell’algoritmo di cifratura DES che nel linguaggio java (un linguaggio di programmazione utilizzato in 6 miliardi di schede SIM). Se l’operatore telefonico ha bisogno di aggiornare le impostazioni della scheda, ad esempio fornendo l’interoperabilità con i carrier esteri, manderà in esecuzione un programma Java Card semplicemente inviando un SMS contenente codice binario. Il messaggio non viene visualizzato sul cellulare perché mandato tramite over-the-air programming (OTA).

Il bug descritto è davvero grave ed i danni che può provocare sono altrettanto pericolosi. Gli operatori telefonici di tutto il mondo, uniti con i produttori di SIM card, dovrebbero immediatamente correre ai ripari verificando se le SIM in commercio sono vulnerabili e, nel caso, procedere con la sostituzione.

Chissà se questi BUG non siano stati voluti dagli enti governativi per spiarci….